Skip to topic | Skip to bottom
Home
Search:

Sysadmin

Sysadmin.GnuPGder1.2 - 14 Apr 2005 - 13:43 - SkePtopic end
You are here: Sysadmin > GnuPGde
Start of topic | Skip to actions

Einführung in OpenPGP

Vor 25 Jahren basierte jegliche Verschlüsselung auf einem einzigen gemeinsam benutzten geheimen Schlüssel - da alle Parteien, welche die Verschlüsselung nutzten, den gleichen Schlüssel zum dekodieren nahmen, konnte der Code einfach dadurch geknackt werden, indem man einem dieser Schlüssel habhaft wurde.

Danach kam das Konzept des "öffentlicher Schlüssel - privater Schlüssel". In Kurzform, ein öffentlicher Schlüssel ist etwas was du quasi jedem schicken kannst, da er es nur erlaubt Dinge zu verschlüsseln die mit deinem privatem Schlüssel dekodiert werden können. Öffentliche Schlüssel verschlüsseln, private Schlüssel entschlüsseln.

Du kannst auch Dokumente mit deinem privatem Schlüssel "unterzeichnen", das heisst das du damit eine Verschlüsselungs-Prüfsumme des Dokumentes erstellst, die andere gegenprüfen können um sicher zu gehen das du in der Tat dieses Dokument erstellt hast und es nicht modifiziert ist.

Sicherheits-Themen

Die einfachste (und am häufigsten angewandte) Methode diese Verschlüsselung zu "brechen" nennt sich "Man In the Middle" und funktioniert so: Wenn eine Person A versucht ein verschlüsseltes Dokument an eine Person B zu schicken, kann eine dritte Person, Person C dazuwischen stehen und Person A glauben machen, das sie (C) Person B ist und umgekehrt. Es ist einfache Trickserei, aber das funktioniert gut bei Menschen, die nicht aufpassen.

Es gibt ein paar Wege diese betrügerischen Impersonations-Attacken zu bekämpfen. Die erste und direkteste Möglichkeit ist es, Menschen den Fingerabdruck deines öffentlichen Schlüssels zu geben. Für durch GnuPG erstellte DSA-Schlüssel ist dies eine 40-stellige heaxadezimale (base 16) Zahl, die letzten 8 Stellen davon sind deine Schlüssel-ID. Während einzelne Schlüssel sich möglicherweise den gleichen Fingerabdruck teilen könnten, ist dagegen die Anzahl an Schlüssel die man generieren müßte um ein Treffer zu erzielen astronomisch hoch.

Die zweite Möglichkeit, die oft dazu verwandt wird, wenn du die Person zum ersten Mal kontaktierst, ist, die Signatur des öffentlichen Schlüssel zu verifizieren. Wie die Signaturen von Dateien, können Freunde ihre privaten Schlüssel dazu verwenden ihren öffentlichen Schlüssel zu unterzeichnen. Im Gegensatz zum Unterzeichnen von Dateien allerdings, indizieren unterzeichnete Schlüssel keinen Besitzer - es indiziert das man aus erster Hand, von Angesicht zu Angesicht, weiß das der Schlüssel in der Tat von der Person stammt die dies von sich behauptet. Wenn du einen Schlüssel zum ersten Mal bekommst und du findest die Signatur eines Freundes darin, kannst du hoffentlich dem Urteil deines Freundes genug vertrauen um dem Schlüssel der neuen Person ebenfalls zu vertrauen. Wenn du keine Signaturen in dem Schlüssel wiedererkennst, könntest du sogar ein Schritt weitergehen und alle Signaturen derjenigen überrpüfen die diesen Schlüssel unterzeichnen. Dies nennt man "Netz des Vertrauens" (Web of Trust). Aufgrund der Tatsache das die meisten IMC'ler sich gegenseitig über ein oder zwei Leuten kennen, sollten es uns möglich sein uns neue Personen über Kontakte mit ihrem lokalen IMC oder jemanden eines anderen IMC zu verifizieren.

Jedes Mal wenn du ein Bit hinzufügst, verdoppelt sich die anzahl von möglichen Kombinationen. Unter Beachtung das sich die Geschwindigkeit von Computern alle 18 Monate verdoppeln, würde es eine vielzahl deiner Lebenzeit beanspruchen einen 1024Bit-Schlüssel zu knacken. Es würde viel einfacher für sie sein in deine Wohung einzubrechen und eine Kopie deines privaten Schlüssels von der Festplatte zu stehlen. Dies ist der Grund warum wir nur dann eine Passphrase zum verschlüsseln/entschlüsseln unserer privaten Schlüssel nutzen, wenn wir sie benutzen. Wenn du richtig sichergehen willst, nutze eine lange, nicht-wörtliche, alphanumerische (mit Groß- und Kleinschreibung), zufällige Passphrase und bewahre deinen Schlüsselring (keyring) an einem dorgfältig versteckten Diskette, anstatt auf deiner Festplatte, auf.

Der Anfang

Falls du es nicht bereits getan hast, gehe auf http://www.gnupgp.org/ und lade dir die Software herunter. Aus der Shell heraus (Windows-Benutzer: Shell = DOS) lasse die folgendes Zeile zweimal laufen: 

gpg --gen-key

Beim ersten Mal sollte es melden das dein Schlüsselring (keyring) erstellt wurde. Beim zweiten Durchlauf sollte das Menü zur Generierung des Schlüssel erscheinen. Benutze dort die vorgegebenen Werte, mit Ausnahme deines echten Namens, Emailadresse und Passphrase. Du kannst ein Ablaufdatum von einem Jahr eingeben, da dies dein erster Schlüssel ist, gibt keinen Kommentar ein, außer du erstelst mehr als einen Schlüssel (z.B. verschiedene Home-/Arbeits-Schlüssel). Bewege die Maus umher, tippe zufällige Tasten auf der Tastatur, ect. während versucht wird Entropie zu generieren - wenn es nicht ausreicht, mache damit weiter.

An diesem Punkt solltest du mit dem Generieren fertig sein, also versuche dies: 

gpg --fingerprint

Dies sollte dir deinen Schlüssel mit dem Fingerabdruck und möglicherweise mit anderen Angaben wie Subschlüssel ect. anzeigen. Jetzt, sehr wichtig, bevor du irgendetwas anderes machst, nehme eine NEUE DISKETTE und kopiere die *gpg Dateien dorthin damit du eine Sicherheitskopie hast. Mit deinem privatem Schlüssel hast du immer die Möglichkeit einen neuen Key für dich zu unterzeichnen und Ungültigkeits-Zertifikate für den alten Schlüssel zu erstellen, oder einfach eine neue Emailadresse auf deinen Schlüssel anzuwenden (und die alte Emailadresse zu löschen), aber ohne den privaten Schlüssel verlierst du all diese Berechtigungen, solange bis dein Schlüssel abläuft/verfällt.

Nun ist es Zeit deinen Schlüssel an den IMC Keyserver zu schicken. Es ist völlig egal an welchen Server, da alle zusammen im Netzwerk sind, wähle einfach einem aus der am nächsten ist und nutze ihn dafür. Wenn es nicht klappt nimm einfach einen anderen. Tippe z.B. dies um deinen Schlüssel an den keys.indymedia.org Server zu schicken: 

gpg --keyserver keys.indymedia.org --send-key <deine Schlüssel-ID>

Als du deinen Fingerabdruck herangezogen hattest, hast du deine Schlüssel-ID bekommen, sie ist hinter 1024D/ aufgelistet und sie entspricht ebenfalls den letzten 8 Ziffern deines Fingerabdruckes. Wenn du diesen Schritt abgeschlossen hast, liegt dein Schlüssel zum Benutzen für andere bereit. Du kannst die Schlüssel von Freunden oder eine aktualisierte Kopie deines, von einem/r FreundIn? signierten Schlüssels, mit dem folgendem Kommando empfangen: 

gpg --keyserver keys.indymedia.org --recv-key <keyid>

Um ein Vertrauenslevel zuzuweisen und den Schlüssel eines/r Freundes/Freundin zu unterzeichen (FreundIn? im Sinne einer Person die du getroffen hast und die Gültigkeit deren Schlüssels verifiziert hast): 

gpg --edit-key <keyid>

Danach nutze das Menü zum "vertrauen" (trust), "unterzeichnen" (sign) und zum "abspeichern" (save). Ein letzter Tipp für den Gebrauch, um zu vermeiden jedes Mal --keyserver einzugeben, kannst du die GnuPG options Datei editieren und keyserver dort eintragen.

Benutzung

Die herkömmlichste Art GnuPG zu nutzen ist über deinen MailClient?. Schaue unter Frontends bei http://www.gnupg.org/ um zu sehen, wie dein Client arbeitet. Wenn du ein web-basiertes Standard-Mailprogramm verwendest mußt du es auf die harte Tour versuchen, oder du besorgst die einen E-Mail Service.

Um etwas "manuell" zu verschlüsseln, speichere das File als *txt und tippe: 

gpg --armor --encrypt <filename> -r <keyid>

eine alternative Kurzform davon ist dies: 

gpg -ea <filename> -r <keyid>

[ -e = --encrypt ; -a = --armor ; -r = recipient ]

So erstellst du eine neue verschlüsselte Datei .asc - um etwas zu entschlüsseln was mit deinem Schlüssel verschlüsselt wurde (zu Testzwecken verschlüssel etwas mit deinem eigenem Schlüssel) tippe dies: 

gpg --decrypt <filename>

or, alternatively, 

gpg -d <filename>

[ hier: -d = --decrypt ]

Du kannst mittels > (oder --output) die entschlüsselten Daten in eine Datei umleiten, anstatt sie in der Shell angezeigt zu bekommen.

Es gibt tausende anderer Nutzungsmöglichkeiten, aber ich lasse euch die Anleitung lesen, welche mit GnuPG mitgeliefert ist um sie herauszufinden. smile Hab Spaß, und bitte, lasst dich nicht von all den Technikgeplapper entmutigen. Es ist wirklich einfach zu nutzen und die Vorteile sind es wirklich wert sich die Zeit zum erlernen zu nehmen.

Diverses

Für mehr Informationen besuche die KeyServer working group page.

Quelle: http://lists.indymedia.org/mailman/public/keyservers/2002-March/000001.html
to top

End of topic
Skip to action links | Back to top

Edit | Attach image or document | Printable version | Raw text | More topic actions
Revisions: | r1.2 | > | r1.1 | Total page history | Backlinks
You are here: Sysadmin > GnuPGde

to top

Copyright © 1999-2008 by the contributing authors.
All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding this tool? Send feedback (in English, Francais, Deutsch or Dutch).